Cyber-Angriffe: Domino-Effekte

Die Gefahr, die von Cyber-Angriffen ausgeht, wird von vielen Praxisinhabern und -inhaberinnen unterschätzt. „Hacker greifen große Konzerne oder staatliche Einrichtungen an, aber nicht meine kleine Praxis“, lautet das Standardargument. Und diese Sichtweise ist sicherlich nicht völlig falsch: Zielgerichtete Angriffe gelten meist Großkonzernen wie Ebay (2014), Beiersdorf (2017), Bombardier (2021) oder staatlichen Organen wie dem Pentagon (2011) oder der Zentralbank von Neuseeland (2021). Doch das ist nur die halbe Wahrheit. Denn neben zielgerichteten Angriffen gibt es auch Attacken mit breiter Streuung: Das Sicherheitsunternehmen Barracuda Networks etwa zählt 121 Ransomware-Vorfälle in den vergangenen 12 Monaten, das ist eine Steigerung um 64 Prozent innerhalb eines Jahres. Eine weitere Gefahr – auch für Arztpraxen – entsteht durch Domino-Effekte.

Diese werden vor allem durch „Supply-Chain-Angriffe“ (Lieferkettenangriffe) verursacht. Kriminelle machen sich eine einzige Schwachstelle zunutze, um tausende, wenn nicht hunderttausende Computer weltweit zu infiltrieren. Angriffe werden beispielsweise gezielt auf Softwareanbieter und andere IT-Dienstleister ausgeführt, um deren Kunden attackieren zu können. Arztpraxen etwa werden nicht direkt angegriffen, vielmehr dringen Hacker über die „Hintertür“ einer Praxissoftware ein und richten Schaden an. Das fatale daran: Gerade Gesundheitsdienstleister, die mit hochsensiblen Daten arbeiten, laufen Gefahr, aufgrund einer Attacke gegen die Datenschutz-Grundverordnung (DSGVO) zu verstoßen und so selbst ins Visier von Staatsanwaltschaften zu geraten.

Eine Schwachstelle – viele Opfer
Das Risiko von „Domino-Angriffen“ sollte nicht vernachlässigt werden, denn sie sind mittlerweile weit verbreitet. Zuletzt erfuhr die sogenannte „Kaseya-Attacke“ im Juli größere öffentliche Aufmerksamkeit. Eine Hackergruppe mit Namen „REvil“ nutzte eine Schwachstelle bei dem US-amerikanischen IT-Dienstleister Kaseya aus, drang über dessen Software in 1500 Unternehmen ein und konnte viele Endkunden attackieren. Konkret bedeutete das: Eine mutmaßlich russische Hackergruppe kapert die Software eines US-Amerikanischen IT-Dienstleisters und in Schweden bleibt die Supermarktkette Coop geschlossen, weil die Kette mit einer Software von Kaseya arbeitet. Aber die Attacke wirkte sich selbstverständlich nicht nur in Schweden aus: Betroffen waren laut „REvil“ über eine Million Computer rund um den Globus. Zu den Opfern gehörten mindestens zwei Unternehmen in Deutschland sowie deren Kunden – hierzulande wurden mehrere tausend Computer befallen. Das ist der Domino-Effekt, der gerade auch für niedergelassene Ärzte und Ärztinnen gefährlich ist. Um den Angriff zu beenden, forderten die Täter übrigens 70 Millionen Dollar Lösegeld.

Man stelle sich vor, statt Kaseya hätten die Angreifer einen Akteur der Gesundheitsbranche infiltriert: Ein erfolgreicher Angriff auf die IT-Infrastruktur eines Anbieters von Arztsoftware zum Beispiel bringt alle Kunden des IT-Unternehmens in Gefahr. Auch ein Angriff auf eine Krankenkasse oder eines Herstellers von Krankenkassen-Software kann diese Gefahr verursachen. Domino-Effekte sind in der Gesundheitsbranche genauso möglich wie in anderen Wirtschaftszweigen.

Und es ist erschreckend, wie viele Attacken mittlerweile verübt werden. Einige Beispiele: Im Juli wurden einige Server des Landkreises Anhalt-Bitterfeld angegriffen. Die Folge: Unter anderem konnten Sozialhilfe und Wohnungsgeld nicht ausgezahlt werden. Wie bei der „Kaseya-Attacke“ verlangen die Täter ein Lösegeld, damit der Angriff beendet wird. Im September 2020 legte ein Hack die Düsseldorfer Uniklinik lahm, Anfang des Jahres die Urologische Klinik Planegg, im März traf es die Evangelische Klinik Lippstadt. Aus der Versicherungsbranche hat es kürzlich die Haftpflichtkasse in Darmstadt getroffen. Die Liste der Opfer ließe sich problemlos verlängern. Auch mit Arztpraxen: „Eine von 25 Arztpraxen ist in den vergangenen zwei Jahren mindestens einmal Opfer von Internet-Angriffen geworden und hat dadurch einen Schaden erlitten“, schrieb im Januar 2019 die Ärztezeitung.

Nebenbei: In Praxen kommen persönliche, Finanz- und Gesundheitsdaten von Patienten zusammen. Für Kriminelle ist das sehr verlockend: Schon ein einziger Datensatz eines Krebspatienten wird im Darknet für rund 800 Dollar verkauft. Man darf wohl davon ausgehen, dass Quacksalber, die die Verzweiflung todkranker Menschen ausnutzen und vermeintliche „Wunderheilmittel“ teuer verkaufen, an diesen Daten sehr interessiert sind.

Zurück zur Gefahr, als Opfer eines Cyber-Angriffs selbst ins Visier der Strafverfolgung zu geraten. Kommt es zu einem Cyber-Vorfall sind Arztpraxen – wie alle anderen Unternehmen auch – laut Datenschutz-Grundverordnung (DSGVO) dazu verpflichtet, Behörden und Patienten umgehend zu informieren. Genauer: Arztpraxen haben nach Erkennen des Schadens nur 72 Stunden Zeit, einen Datenrechtsanwalt und einen IT-Forensiker zu finden, die die Schadensursachen untersuchen, Kundendaten sichern, eine vollständige Meldung absetzen und auch noch alle potenziell betroffenen Patienten schriftlich informieren. Diese Frist dürften viele Arztpraxen kaum einhalten können. Unter anderem auch, weil nach einem größeren Cyber-Angriff viele IT-Spezialisten und spezialisierte Anwälte schnell ausgebucht sein werden.

Nach 72 Stunden prüft die Staatsanwaltschaft
Gelingt dies nicht, droht Ungemach: Nach den 72 Stunden kommt es laut DSGVO zur Pflichtabgabe an die Staatsanwaltschaft, diese entscheidet dann, ob sie den Fall verfolgt und ob aus einer Ordnungswidrigkeit ein Straftatbestand wird. Hintergrund dieser scharfen Regelung sind die besonders sensiblen Datensätze, die in der Gesundheitsbranche verarbeitet werden.

Deshalb empfiehlt es sich für niedergelassene Ärzte und Ärztinnen, eine branchengerechte Cyber-Versicherung abzuschließen, die neben dem üblichen finanziellen Schutz auch weitere Service-Leistungen bietet. Vor allem: Die fristgerechte Vermittlung von IT-Spezialisten und qualifizierter Rechtsanwälte, damit die 72-Stunden-Frist eingehalten werden kann.